Google запустил ClusterFuzzLite, решение непрерывного фаззинга для повышения безопасности цепочки поставок программного обеспечения.
В четверг инженеры-программисты Google Джонатан Мецман и Оливер Чанг вместе с ведущим специалистом по продуктам Google CI / CD Майклом Винсером заявили, что сообщение в блоге что новый инструмент может работать «как часть рабочих процессов CI / CD, чтобы находить уязвимости быстрее, чем когда-либо прежде».
Фаззинг — это метод автоматического тестирования для поиска ошибок и неожиданного поведения путем ввода неверных и случайных данных в программы. Это может выявить уязвимости или ошибки, которые в противном случае могут остаться незамеченными при ручном анализе.
Новый инструмент, ClusterFuzzLite, основан на ClusterFuzz, масштабируемой инфраструктуре фаззинга с открытым исходным кодом, ранее выпущенной Google и использовавшейся в качестве основы для фаззинга. OSS-Fuzz программа.
Согласно Google, ClusterFuzzLite может быть интегрирован в существующие рабочие процессы для нечеткого извлечения запросов, повышая вероятность обнаружения уязвимостей на ранних этапах процесса разработки и до того, как изменения будут зафиксированы.
Пока ClusterFuzz и ClusterFuzzLite содержат некоторые из тех же функций, в том числе непрерывное фаззинг, создание отчетов о покрытии и поддержку дезинфицирующих средств — команда говорит, что основное отличие состоит в том, что ClusterFuzz легко настраивается с проектами с закрытым исходным кодом, и поэтому разработчики могут использовать его. быстро провести фазировку своего программного обеспечения.
На данный момент ClusterFuzzLite поддерживает GitHub Actions, Google Cloud Build и Prow.
«С ClusterFuzzLite фаззинг больше не просто идеализированный« бонусный »раунд тестирования для тех, кто имеет к нему доступ, но критически важный шаг, который каждый может использовать постоянно в каждом программном проекте», — заявила команда. «Обнаруживая и предотвращая ошибки до того, как они попадут в кодовую базу, мы можем построить более безопасную программную экосистему».
Документацию по инструменту можно найти по адресу GitHub.
В феврале Google запустил веб-сайт Open Source Vulnerabilities (OSV), платформу для картирования уязвимостей с открытым исходным кодом.
Предыдущее и связанное с ним покрытие
Есть чаевые? Свяжитесь с нами безопасно через WhatsApp | Сигнал на +447713 025 499 или на Keybase: charlie0